ok ich habe cleanup! ausgeführt und poste jetzt die logdaten von datfind.bat
Zitat:
system32.txt (nur dateien diesen monats)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101
Verzeichnis von C:\WINDOWS\system32
20.10.2007 12:22 58.727 vsconfig.xml
20.10.2007 12:21 9.240 lsass.log
20.10.2007 12:11 0 tmp.txt
20.10.2007 12:11 4.860 tmp.reg
17.10.2007 13:20 2.206 wpa.dbl
15.10.2007 00:02 17.312 mlfcache.dat
06.10.2007 12:00 5.686 jupdate-1.6.0_03-b05.log
04.10.2007 00:36 25.600 WS2Fix.exe
1910 Datei(en) 346.396.163 Bytes
0 Verzeichnis(se), 82.083.942.400 Bytes frei
_________________________________________________
systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101
Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp
20.10.2007 12:30 173 jusched.log
20.10.2007 12:25 0 JETE698.tmp
20.10.2007 12:22 0 BIT157.tmp
20.10.2007 12:22 0 BIT156.tmp
20.10.2007 12:19 0 BIT159.tmp
20.10.2007 12:18 0 BIT158.tmp
20.10.2007 12:16 0 BIT155.tmp
20.10.2007 12:16 0 BIT154.tmp
20.10.2007 12:15 0 BIT153.tmp
9 Datei(en) 173 Bytes
0 Verzeichnis(se), 82.082.410.496 Bytes frei
_________________________________________________________________
system.txt (nur dateien des monats)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101
Verzeichnis von C:\WINDOWS
20.10.2007 12:25 50 wiaservc.log
20.10.2007 12:25 159 wiadebug.log
20.10.2007 12:23 1.481.025 WindowsUpdate.log
20.10.2007 12:22 1.621 setupapi.log
20.10.2007 12:22 0 0.log
20.10.2007 12:21 2.048 bootstat.dat
20.10.2007 12:19 13.632 SchedLgU.Txt
19.10.2007 09:47 360 setupact.log
19.10.2007 09:46 952.050 ntbtlog.txt
19.10.2007 01:28 309 dat.txt
17.10.2007 18:56 95 winamp.ini
17.10.2007 18:50 18.250 rs.txt
17.10.2007 11:57 34.304 nmcuninstall.exe
17.10.2007 11:57 79.872 optnet.dll
17.10.2007 11:57 274.432 ntspknlg.dll
11.10.2007 01:36 1.393 imsins.BAK
71 Datei(en) 8.513.391 Bytes
0 Verzeichnis(se), 82.080.878.592 Bytes frei
_________________________________________________________________
tmp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101
Verzeichnis von C:\WINDOWS\Temp
20.10.2007 12:21 256 ZLT00c17.TMP
20.10.2007 12:21 256 ZLT00c10.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 82.080.878.592 Bytes frei
________________________________________________________________
down.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101
Verzeichnis von C:\WINDOWS\Downloaded Program Files
24.09.2007 15:32 65 desktop.ini
27.07.2004 16:48 323.584 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
4 Datei(en) 544.833 Bytes
0 Verzeichnis(se), 82.080.878.592 Bytes frei
_______________________________________________________________
sys.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101
Verzeichnis von C:\
20.10.2007 12:34 0 sys.txt
20.10.2007 12:33 445 down.txt
20.10.2007 12:33 327 tmp.txt
20.10.2007 12:32 3.794 system.txt
20.10.2007 12:30 680 systemtemp.txt
20.10.2007 12:28 93.352 system32.txt
20.10.2007 12:21 1.064.751.104 hiberfil.sys
20.10.2007 12:21 1.598.029.824 pagefile.sys
20.10.2007 12:12 4.135 rapport.txt
________________________________________________________________
|
jetzt lasse ich nochmal smitfraudfix.exe drüber laufen und poste anschließend die rapport.txt der bereinigung mit smitfrauf und ein frisches
HijackThis log.
[...]
es lebe die editieren funktion, hier also der rapport.txt von der smitfraud-bereinigung
Zitat:
SmitFraudFix v2.240
Scan done at 12:47:56,10, 20.10.2007
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=217.237.148.70 192.168.0.1
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
|
und hier ein ganz frisches hijackthislogfile
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:45, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - C:\WINDOWS\ntspknlg.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: The optnet - {B02534D7-8D91-49BE-A864-97DFB8E0BAB4} - C:\WINDOWS\optnet.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O21 - SSODL: hostctrl - {B165649A-1320-47A7-8E41-8BC766355418} - C:\WINDOWS\hostctrl.dll (file missing)
O21 - SSODL: hstsys - {4AC2BC5A-622B-4B28-8868-70BBC8F30B5C} - C:\WINDOWS\hstsys.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 6850 bytes
|
ach ja, desn kaspersky onlinescan versuche ich grad auch noch zu machen, hab grad nur das problem dass sich nichts tut nach akzeptieren der agb, ich bleib dran und reiche den bericht nach. hoffe ihr seid weiterhin motiviert mir zu helfen, ohne euch bin ich verloren :/
[..] ah gut, ich habs, der kaspersky funzt nicht mit firefox, na ja also mal eben den IE gestartet, da wurde mir wieder sehr deutlich wie akkut mein virenproblem ist, ich wurde unmittelbar wieder dazu aufgefordert mir "sicherheitssoftware" zu ziehen von diesen fake-seiten die mir der virus öffnet. naja ich denke ich bekomme dieses kasperskydingens dennoch installiert und reiche nachher den bericht hier ein und mache einen neuen hijackhis-log und ersetze den vorhin geposten durch den dann aktuelleren.
19.10.2007, 09:23
Hybrid-Darstellung
